L'imagination des experts de l'arnaque virtuelle ne semble avoir aucune limite. Un péril croissant continue ainsi, sous diverses formes, de menacer nos ordinateurs : les ransomwares, ces virus qui bloquent les systèmes d'exploitation jusqu'à ce que l'utilisateur ait payé une rançon. Portrait-robot d'un danger galopant.
L'affaire a fait grand bruit ces dernières semaines : les ordinateurs de l'agence France Presse (AFP) ont été infectés, le 21 mars dernier, par une sorte toute particulière de virus, un ransomware nommé Locky. Le procédé n'est pas nouveau, certes, et vient s'ajouter à la longue liste des arnaques sur internet, mais l'ampleur qu'il prend fait entrer cette menace dans une tout autre dimension. Le principe est aussi simple que redoutable. Vous ouvrez une pièce jointe à un e-mail que vous pensez de confiance, sous forme de fichier texte, de tableur ou de présentation et il est déjà trop tard. En toute discrétion, le logiciel espion s'est déjà infiltré dans votre machine et en a pris le contrôle. Il se connecte alors à un serveur pirate qui va lui permettre de télécharger la suite de l'application maligne. Le système entre ensuite dans un engrenage infernal : tous les périphériques, disques durs externes et clefs USB branchées compris, sont chiffrés automatiquement et rendus ainsi inaccessibles sans la bonne clef de déchiffrement. Une fois l'ordinateur complètement bloqué, le logiciel malveillant ouvre alors une fenêtre stipulant à l'utilisateur que s'il veut récupérer ses données, il est obligé de s'acquitter d'une certaine somme, qui peut atteindre rapidement les milliers d'euros. Bien sûr, si la personne ainsi prise en otage décide de verser cette rançon virtuelle, ses informations de paiement sont immédiatement récupérées et utilisées pour vider son compte en banque. Rien ne garantit, bien évidemment, que le paiement du montant demandé permettra, en outre, de récupérer son ordinateur et ses périphériques. Dans le cas de l'AFP, les malfaiteurs ont demandé 4 bitcoins par poste contrôlé, soit, au cours du jour, près de 1 500 €.
Ne jamais céder
Il est donc tout à fait contre-indiqué de régler quoi que ce soit dans de pareilles conditions. Il n'y a toutefois pas de solution miracle pour se prémunir de telles intrusions. Il faut avant tout mettre en place quelques séries de dispositions. À commencer par le fait de prendre conscience que cela n'arrive pas qu'aux autres. « L'erreur est humaine, et recevoir un message émanant d'un cabinet d'avocats n'éveille pas la méfiance de plusieurs de nos utilisateurs », explique Alcino Pereira sur le blog de l'AFP suite à cette mésaventure. « Locky, relève CERT-FR, le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques, s'est déployé, depuis mi-février 2016, comme un véritable “vague“ car le taux de blocage par les passerelles antipourriel est relativement faible ». En France, le virus s'est répandu, notamment, par l'intermédiaire de fausses factures. À chaque fois qu'il y a une fuite de données chez une société qui recense des centaines de milliers voire des millions de clients ou de membres, c'est l'ensemble du réseau qui est menacé : les hackers récupèrent en effet des informations précises leur permettant de faire passer leur mail vérolé pour un mail crédible ou provenant d'un contact bien connu du récipiendaire. Pire encore, explique une nouvelle fois l'AFP sur son blog : « Nous découvrons que les pirates ont trouvé un moyen pour déclencher en catimini l'envoi d'un accusé de réception dès que le mail infecté est manipulé, transféré ou détruit. Ainsi ils savent que l'adresse d'envoi est bonne, qu'il y a quelqu'un derrière. C'est vraiment très, très fort : en même temps qu'ils attaquent, ils mettent à jour leur base de cibles, pour continuer à l'avenir à attaquer toujours les mêmes personnes. » Enfin, alors que les utilisateurs Mac étaient relativement épargnés jusqu'alors par ce genre de pratiques, une version OS X de Locky, KeRanger, commence également à faire des ravages chez les utilisateurs de la Pomme.
Les bonnes réponses
Le fait de bien prendre la mesure du risque est un premier pas important vers la protection. Une fois infecté, il faut être conscient que l'ordinateur sera réellement inutilisable et devra être remis à zéro, avec les données perdues. Des solutions propres à chaque type de ransomware sont bien disponibles sur des sites de sécurité, mais l'évolution des programmes les rend une à une caduques. Il est donc important de sauvegarder le plus souvent possible son système et ses données et de conserver plusieurs copies des documents importants. Si vous êtes infecté, débranchez le plus rapidement possible votre ordinateur du réseau (pour ne pas contaminer les autres machines) et déconnectez vos périphériques externes. Procédez ensuite à la mise en place d'un point de sauvegarde ou alors à une réinstallation complète de votre système. Et, surtout, comme dans les grands thrillers hollywoodiens, ne payez jamais !
